Tietoja Apple TV:n ohjelmistopäivityksen 4.4 turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Apple TV:n ohjelmistopäivityksen 4.4 turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Apple TV:n ohjelmistopäivitys 4.4

  • Apple TV

    Saatavuus: Apple TV 4.0–4.3

    Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä sieppaamaan käyttäjätunnuksia tai muita arkaluonteisia tietoja.

    Kuvaus: Useat DigiNotarin operoimat varmenteen myöntäjät myönsivät vilpillisiä varmenteita. Tämä ongelma on ratkaistu poistamalla DigiNotar luotettujen juurivarmenteiden ja laajennetun todentamisen varmentajien luetteloista sekä määrittämällä järjestelmän oletusluottoasetukset niin, ettei DigiNotarin varmenteisiin luoteta, vaikka ne olisivat muilta myöntäjiltä.

  • Apple TV

    Saatavuus: Apple TV 4.0–4.3

    Vaikutus: MD5-tiivisteen sisältäneiden X.509-varmenteiden tuki saattoi altistaa käyttäjät väärennykselle ja tietojen paljastumiselle hyökkäysten kehittyessä.

    Kuvaus: iOS hyväksyi varmenteet, jotka oli allekirjoitettu MD5-tiivistealgoritmilla. Algoritmilla on tunnettuja kryptografisia heikkouksia. Tarkempi tutkimus tai varmenteen myöntäjän väärä määritys olisi voinut sallia X.509-varmenteiden luonnin hyökkääjän ohjaamilla arvoilla, ja järjestelmä olisi luottanut siihen. Tämä olisi paljastanut X.509-pohjaiset protokollat väärennyksille, väliintulohyökkäyksille ja tietojen paljastumiselle. Tämä päivitys poistaa käytöstä tuen X.509-varmenteille, joilla on MD5-tiiviste, muussa käytössä kuin luotettuna juurivarmisteena.

    CVE-ID

    CVE-2011-3427

  • Apple TV

    Saatavuus: Apple TV 4.0–4.3

    Vaikutus: hyökkääjä saattoi pystyä purkamaan SSL-yhteyden salauksen osittain.

    Kuvaus: SSL:ssä tuettiin vain SSLv3- ja TLS 1.0 ‑versioita. Nämä versiot ovat alttiita protokollan heikkouksille lohkosalauksia käyttäessä. Väliintulohyökkääjä olisi pystynyt syöttämään virheellisiä tietoja, mikä olisi sulkenut yhteyden ja paljastanut joitain edellisistä tiedoista. Jos samaa yhteyttä yritettiin useasti, hyökkääjä olisi loputa saattanut pystyä purkamaan salauksen lähetetyistä tiedoista, kuten salasanasta. Tämä ongelma on ratkaistu lisäämällä tuki TLS 1.2:lle.

    CVE-ID

    CVE-2011-3389

  • Apple TV

    Saatavuus: Apple TV 4.0–4.3

    Vaikutus: haitallisen TIFF-kuvan katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: libTIFFin tavassa käsitellä CCITT Group 4 ‑koodattuja TIFF-kuvia oli puskurin ylivuoto.

    CVE-ID

    CVE-2011-0192: Apple

  • Apple TV

    Saatavuus: Apple TV 4.0–4.3

    Vaikutus: haitallisen TIFF-kuvan katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: ImageIO:n tavassa käsitellä CCITT Group 4 ‑koodattuja TIFF-kuvia oli kekopuskurin ylivuoto.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX (Tessi Technologies)

  • Apple TV

    Saatavuus: Apple TV 4.0–4.3

    Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan laitteen nollauksen.

    Kuvaus: Kernel ei varannut muistia heti uudelleen puutteellisista TCP-yhteyksistä. Hyökkääjä, joka pystyi yhdistämään kuuntelupalveluun iOS-laitteessa, pystyi käyttämään järjestelmäresurssit kokonaan.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer (Topicus I&I) ja Josh Enders

  • Apple TV

    Saatavuus: Apple TV 4.0–4.3

    Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: libxml:n tavassa käsitellä XML-tietoja oli yhden tavun kekopuskurin ylivuoto.

    CVE-ID

    CVE-2011-0216: Billy Rios (Google Security Team)

  • Apple TV

    Saatavuus: Apple TV 4.0–4.3

    Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: JavaScriptCoressa oli muistin vioittumisongelma.

    CVE-ID

    CVE-2011-3232: Aki Helin (OUSPG)

Tärkeää: Maininta kolmansien osapuolten verkkosivustoista ja tuotteista on tarkoitettu vain tiedotustarkoituksiin, eikä sitä tule ymmärtää suosituksena. Apple ei ole vastuussa kolmansien osapuolten verkkosivustoilla olevien tietojen tai tuotteiden valinnasta, suorituskyvystä tai käytöstä. Apple tarjoaa tämän käyttäjille vain tiedotustarkoituksiin. Apple ei ole testannut näillä sivustoilla olevia tietoja eikä ole vastuussa niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen tai tuotteiden käyttöön liittyy riskejä, eikä Apple ole vastuussa niiden käyttöön liittyvistä riskeistä. Huomaa, että kolmannen osapuolen sivusto on riippumaton Applesta eikä Apple voi hallita kyseisen sivuston sisältöä. Lisätietoja saat toimittajalta.

Julkaisupäivämäärä: